REL 9: 데이터는 어떻게 백업합니까?

RTO(복구 시간 목표) 및 RPO(복구 시점 목표)에 대한 요구 사항을 충족하도록 데이터, 애플리케이션 및 구성을 백업합니다.

리소스

What Is AWS Backup?
AWS re:Invent 2019: Deep dive on AWS Backup, ft. Rackspace (STG341)
Well-Architected lab: Level 200: Testing Backup and Restore of Data
Amazon S3: Protecting Data Using Encryption
Encryption for Backups in AWS
On-demand backup and restore for DynamoDB
EFS-to-EFS backup
AWS Marketplace: products that can be used for backup
APN Partner: partners that can help with backup

모범 사례:

• 백업해야 하는 모든 데이터를 확인하고 백업하거나, 소스에서 데이터를 복제합니다.: Amazon S3는 여러 데이터 원본의 백업 대상으로 사용할 수 있습니다. Amazon EBS, Amazon RDS 및 Amazon DynamoDB와 같은 AWS 서비스에는 백업 생성 기능이 내장되어 있습니다. 타사 백업 소프트웨어를 사용할 수도 있습니다. RPO 충족을 위해 다른 소스에서 데이터를 재현할 수 있는 경우에는 백업이 필요하지 않을 수도 있습니다.

• 백업 보안 및 암호화: AWS IAM과 같은 인증 및 권한 부여를 사용하여 액세스를 감지하고 암호화를 사용하여 데이터 무결성 손상을 감지합니다.

• 자동으로 데이터 백업 수행: 정기적인 일정 또는 데이터 세트의 변경에 따라 백업이 자동으로 생성되도록 구성합니다. RDS 인스턴스, EBS 볼륨, DynamoDB 테이블 및 S3 객체에 대해 모두 자동 백업을 구성할 수 있습니다. AWS Marketplace 솔루션 또는 타사 솔루션을 사용해도 됩니다.

• 백업 무결성 및 프로세스를 확인하기 위해 데이터의 주기적인 복구 수행: 복구 테스트를 수행하여 백업 프로세스 구현이 RTO(복구 시간 목표) 및 RPO(복구 시점 목표)를 충족하는지 검증합니다.

개선 계획

백업해야 하는 모든 데이터를 확인하고 백업하거나, 소스에서 데이터를 복제합니다.

워크로드에 사용되는 AWS 서비스 및 리소스의 백업 기능 숙지 및 사용: AWS는 워크로드 데이터를 백업할 수 있는 기능 제공
What Is AWS Backup?
Well-Architected lab: Level 200: Testing Backup and Restore of Data
Creating a DB Snapshot
Amazon EBS Snapshots
On-Demand Backup and Restore for DynamoDB
Creating a DB Cluster Snapshot in Neptune
Cross-Region Replication
Working with Amazon OpenSearch Service Index Snapshots
Backup and Restore for ElastiCache for Redis
Backing Up Amazon EFS
Exporting Log Data to Amazon S3

암호화된 Amazon EC2 EBS 볼륨의 스냅샷을 사용합니다.: 특정 시점 스냅샷을 생성하여 Amazon EBS 볼륨의 데이터를 Amazon S3에 백업할 수 있습니다. 스냅샷은 증분식 백업입니다. 즉, 가장 최근 스냅샷 이후에 변경된 디바이스의 블록만 저장됩니다. 요구 사항에 맞는 스냅샷 일정 및 보존 정책을 설정하십시오.

• AWS CloudFormation 또는 신뢰할 수 있는 타사 공급자를 사용하여 KMS 암호화로 EBS 볼륨을 생성합니다.
  AWS CloudFormation: AWS::EC2::Volume
• 정기적으로 스냅샷 생성: EBS 볼륨의 스냅샷을 정기적으로 생성하는 일정과 적절한 프로세스를 결정합니다. 애플리케이션에 따라 다를 수 있습니다.
  Amazon EBS snapshots
  • 재해 복구 요구 사항에 따라 이러한 스냅샷을 복제해야 하는지 판단합니다.: 이를 다른 계정 또는 AWS 리전에 복제해야 할 수 있습니다.
    Copying an Amazon EBS snapshot

Amazon EFS 파일 시스템 복제: AWS는 기본적으로 Amazon EFS 파일 시스템의 스냅샷을 생성하지 않습니다. 요구 사항에 맞는 스냅샷 일정 및 보존 정책을 설정하십시오.

• EFS-EFS 백업 자동화
  EFS-to-EFS AWS Backup
  Using AWS Backup with Amazon EFS
• 백업 솔루션을 배포하고 실행하도록 예약된 이벤트를 생성합니다.
  • 복사본을 얻은 후에는 AWS API 또는 신뢰할 수 있는 타사 솔루션을 사용하여 더 높은 내구성을 구현하기 위해 Amazon S3에 데이터를 복사할 수 있습니다.: 사용 중인 AWS 리전에서 Amazon EFS를 지원하지 않는 경우에는 AWS Data Pipeline을 사용합니다.
    Backing up Amazon EFS file systems using AWS Data Pipeline

암호화된 Amazon RDS 인스턴스의 스냅샷을 가져옵니다.: 기본적으로 AWS는 매일 스냅샷을 가져와서 해당 날짜에 보관합니다. 요구 사항에 맞는 스냅샷 일정 및 보존 정책을 설정하십시오.

• AWS CloudFormation 또는 신뢰할 수 있는 타사 공급자를 사용하여 KMS 암호화로 RDS 인스턴스를 생성합니다.
  AWS::RDS::DBInstance
• 기본 백업 기간, 백업 보존 기간, KMS 키 ID 및 스토리지 암호화 옵션을 설정합니다.
  • 재해 복구 요구 사항에 따라 이러한 스냅샷을 복제해야 하는지 판단합니다.
    Encrypting Amazon RDS resources
    How Amazon Relational Database Service (Amazon RDS) uses AWS KMS

Amazon Dynamo DB 테이블의 스냅샷 생성: AWS는 기본적으로 DynamoDB 테이블의 스냅샷을 생성하지 않습니다. 요구 사항에 맞는 스냅샷 일정 및 보존 정책을 설정하십시오.

• CloudFormation 또는 신뢰할 수 있는 타사 공급자를 사용하여 DynamoDB 테이블 및 연결된 TTL 설정, IAM 정책 및 CloudWatch 경보를 생성합니다.: AWS CLI 또는 AWS SDK 또는 신뢰할 수 있는 타사 공급자를 사용하여 DynamoDB Auto Scaling을 생성합니다.
  AWS::DynamoDB::Table
  Using the AWS CLI to manage DynamoDB automatic scaling
  Application programming with DynamoDB automatic scaling
• DynamoDB API를 사용하여 특정 시점으로 복구 기능을 활성화합니다.: 스냅샷은 AWS 관리형 키를 사용하여 자동으로 암호화됩니다.
  On-Demand Instance backup and restore for DynamoDB.
• DynamoDB API 작업을 사용하여 특정 시점으로 복구 기능을 활성화합니다.: 이렇게 하면 최근 35일 이내의 원하는 시점으로 복원할 수 있습니다.
  Point-in-time recovery for DynamoDB

보존 및 아카이빙을 위해 CloudWatch Logs의 로그 파일을 Amazon S3에 복사합니다.: AWS는 보존 정책에 지정한 기간 동안 CloudWatch Logs 로그 파일을 저장합니다. 분석, 과학수사 및 아카이빙을 위해 로그가 더 오래 필요한 경우 Amazon S3로 내보낼 수 있습니다.
Exporting log data to Amazon S3

• CloudFormation 또는 신뢰할 수 있는 타사 공급자를 사용하여 CloudWatch Logs 로그 그룹 및 이에 연결된 보존 기간을 만듭니다(일 단위).
  AWS::Logs::LogGroup
• CloudWatch Logs GetLogEvents API를 사용하여 로그 데이터를 Amazon S3에 저장하는 AWS Lambda 함수를 호출하도록 예약된 이벤트를 생성합니다.
  Creating an EventBridge Rule That Triggers on a Schedule
  Using AWS Lambda with scheduled events
  Exporting log data to Amazon S3
  • 아카이빙 및 최종 삭제를 위해 로그가 Amazon S3 Glacier에 포함되는 경우 S3 버킷에 대한 수명 주기 정책을 지정합니다.
    Object lifecycle management

백업 보안 및 암호화

각 데이터 스토어에 암호화 사용: 소스 데이터가 암호화되면 백업도 암호화됩니다.

• RDS에서 암호화 활성화: RDS 인스턴스를 생성할 때 AWS Key Management Service를 사용하여 저장 데이터 암호화를 구성할 수 있습니다.
  Encrypting Amazon RDS Resources
• EBS 볼륨에 대해 암호화 활성화: 볼륨 생성 시 기본 암호화를 구성하거나 고유한 키를 지정할 수 있습니다.
  Amazon EBS Encryption
• 필요한 Amazon DynamoDB 암호화 사용: DynamoDB는 모든 저장 데이터를 암호화합니다. AWS 소유의 CMK(고객 마스터 키) 또는 AWS 관리형 CMK를 사용하여 계정에 저장되는 키를 지정할 수 있습니다.
  DynamoDB Encryption at Rest
  Managing Encrypted Tables
• Amazon EFS에 저장된 데이터 암호화: 파일 시스템을 생성할 때 암호화를 구성합니다.
  Encrypting Data and Metadata in EFS
• 원본 및 대상 리전에 암호화 구성: KMS에 저장된 키를 사용하여 S3에서 저장 데이터 암호화를 구성할 수 있지만 키는 리전별로 다릅니다. 복제를 구성할 때 대상 키를 지정할 수 있습니다.
  CRR Additional Configuration: Replicating Objects Created with Server-Side Encryption (SSE) Using Encryption Keys stored in AWS KMS

백업에 액세스할 수 있는 최소 권한 구현: 보안 모범 사례에 따라 백업, 스냅샷 및 복제본에 대한 액세스를 제한합니다.
Security Pillar: AWS Well-Architected

자동으로 데이터 백업 수행

AWS Backup을 사용하여 지원되는 서비스의 백업을 예약합니다.: AWS Backup은 클라우드와 온프레미스의 AWS 서비스 전체에서 데이터 백업을 손쉽게 중앙 집중화하고 자동화할 수 있는 완전관리형 백업 서비스입니다.
What Is AWS Backup?
AWS re:Invent 2019: Deep dive on AWS Backup, ft. Rackspace (STG341)

• 백업 계획 생성: 백업 계획은 AWS 리소스를 백업할 시기와 방법을 정의하는 정책 표현입니다.
  Managing Backups Using AWS Backup Plans
• 백업 저장소 생성: 백업 저장소는 백업을 구성하기 위한 컨테이너입니다.
  Organizing Backups Using AWS Backup Vaults
• 백업 생성: 백업은 지정된 시간의 리소스 콘텐츠를 나타냅니다.
  AWS Backup: Backups

Step Function 상태 시스템을 호출하여 백업을 수행하는 EventBridge 이벤트를 생성합니다.: AWS Step Functions에서 백업을 조정하는 상태 시스템을 생성할 수 있습니다.
Creating an EventBridge Rule That Triggers on a Schedule
What Is AWS Step Functions?
Amazon States Language

백업 무결성 및 프로세스를 확인하기 위해 데이터의 주기적인 복구 수행

백업 자동화 대상으로 복원을 포함합니다.: 백업 수행 대상이 되는 각 시스템의 복원을 수행하도록 AWS Step Functions에서 상태 시스템을 확장할 수 있습니다.
Creating an EventBridge Rule That Triggers on a Schedule
What Is AWS Step Functions?
Amazon States Language